《信息系统内部控制》由会员分享,可在线阅读,更多相关《信息系统内部控制(78页珍藏版)》请在金锄头文库上搜索。
1、授课教师:张玉琳信息系统内部控制概述第一章第二章第三章信息系统控制目录控制流程图信息系统风险疏忽差错输入操作错误处理操作错误输出操作错误垃圾处理不当故意性差错程序炸弹文档篡改数据窃取恶意破坏非法操作浪费浪费差错差错灾难灾难丢失丢失信息系统风险与信息系统有关的风险非故意资非故意资产损毁产损毁资产的资产的失窃失窃防护程序防护程序失控失控丢失非法挪用和窃取计算机资源软件和Internet盗版截尾术等操作系统破坏程序拒绝服务病毒Email炸弹口令攻击特洛伊木马电子欺骗攻击程序安全漏洞黑客扫描攻击和嗅探器钓鱼软件信息系统风险计算机程序编写、操作、维护和管理人员,数据控制员已离职员工。职能部门经理和会计人
2、员。交易处理职员或信息系统职员信息系统风险信息系统风险的来源内部客户与供应商市场竞争者外部入侵者1324自然灾害信息系统风险信息系统风险的来源外部信息系统控制定义:信息系统内部控制是为了保证信息系统的有效性、可靠性和安全性,提高信息系统运营效率,确保信息准确、完整、可靠,有效保护信息资产,利用各种手段和技术,对信息系统实施的管理和控制过程。信息系统控制的对象是计算机信息系统,由计算机硬件和软件资源、应用系统、数据和相关人员等要素构成。信息系统控制分类:一般控制(generalcontrols):有时也称作普遍控制(pervasivecontrols),是与计算机技术或信息技术职能相关的控制,目
3、的是确保系统恰当获取和良好运行。应用控制(applicationcontrols):与具体应用系统有关,确保数据处理完整正确。控制框架普遍目标信息系统控制信息系统控制正直和职正直和职业道德业道德管理哲学和管理哲学和经营风格经营风格董事会及审董事会及审计委员会计委员会132信息系统控制环境建立优秀的行建立优秀的行为道德准则为道德准则建立良好的公建立良好的公司文化司文化以职业道德作以职业道德作为雇佣技术人为雇佣技术人员的第一标准员的第一标准管理管理层树立层树立重视控制重视控制的态度的态度所有雇员应接受有关所有雇员应接受有关安全知识教育安全知识教育安全防卫规则应得到安全防卫规则应得到监控监控建立建立
4、良好文化良好文化氛围氛围建立建立良好沟通良好沟通环境环境董事会任命一个审计委董事会任命一个审计委员会员会审计委员会任命一个信审计委员会任命一个信息系统内部审计师息系统内部审计师内部审计师负责内部审计师负责定期向定期向审计委员会汇报计算机审计委员会汇报计算机安全安全管理控制管理控制活动活动内部审计内部审计职能职能外部影响外部影响等等465信息系统控制环境建立对建立对所有计算机所有计算机系统资源的使用和系统资源的使用和责任划分的控制责任划分的控制建立对所有信息建立对所有信息资资源使用源使用和责任划分和责任划分的控制的控制建立对所有信息系建立对所有信息系统资源的预算控制统资源的预算控制经常性定期审核
5、计算经常性定期审核计算机安全体系机安全体系严格贯彻严格贯彻既定安全既定安全方方针针测试安全方针和程序测试安全方针和程序的一致性和有效性的一致性和有效性保持审计保持审计轨迹轨迹借用借用批控制总量等办批控制总量等办法进行系统漏洞探察法进行系统漏洞探察信息系统应遵从所信息系统应遵从所有的法律法规有的法律法规贯彻一个良好的内贯彻一个良好的内部措施来预防盗版、部措施来预防盗版、非法拷贝和散发受非法拷贝和散发受版权保护的软件资版权保护的软件资料料信息系统控制应用框架系统控制组织控制、人事控制和营运控制一般控制应用控制系统开发控制网络控制、硬件控制和设施控制备份控制和灾难恢复控制会计控制输出控制处理控制输入
6、控制ITIT与其他职能的与其他职能的分离分离;ITIT职能内系统开发、职能内系统开发、ITIT操操作、技术支持作、技术支持分离;分离;交易的授权与交易的授权与ITIT职能分离,职能分离,信息所有权归信息所有权归用户;用户;主文件和交易文件的更改主文件和交易文件的更改需合适会计人员需合适会计人员授权;授权;版本版本管理和访问管理和访问控制;控制;信息处理部门职责分离信息处理部门职责分离;职责分离职责分离休假规定休假规定计算机访问控制计算机访问控制组织控制和人事政策信息处理部门职责分离系统设计、开发及维护人员不参与日常交易处理数据录入人员不能访问程序文件或源代码数据库由数据管理员专人负责网络管理员
7、负责通信软硬件及应用安全管理员负责用户访问权限控制强制休假可以防止内部欺强制休假可以防止内部欺诈者经常性地采取行动来诈者经常性地采取行动来篡改账目篡改账目职责分离职责分离休假规定休假规定计算机访问控制计算机访问控制组织控制和人事政策采取分层进入的控制策略采取分层进入的控制策略只有得到相应层级授权的只有得到相应层级授权的用户才能访问系统用户才能访问系统管理员可以控制单个用户管理员可以控制单个用户访问权限及对系统信息的访问权限及对系统信息的访问访问访问日志的重要性访问日志的重要性职责分离职责分离休假规定休假规定计算机访问控制计算机访问控制组织控制和人事政策分析阶段控制设计阶段控制实施阶段控制132
8、4维护阶段控制开发控制系统分析阶段系统设计阶段系统设计阶段系统实施和维护任何程序开发阶段都应进行大量测试;u必须保证新系统与现有系统和硬件兼容;u必须使用可靠数据进行彻底测试;系统整体测试前要充分进行单元测试;先导测试(即测试)由最终用户单独进行测试;平行测试是将新系统和旧系统平行运行;成功测试后,应使用正式文件记录;系统实施和维护系统维护和升级应避开高峰时段系统测试后,编程人员应向系统管理员移交系统文件和程序说明书等系统运行过程中,应及时跟踪程序的所有变化系统管理员负责新系统的发布(主要是数据转换和迁移)网络控制、硬件控制和设施控制设设施施控控制制和和硬硬件件控控制制网网络络控控制制站点控制
9、:进入信息系统及数据中心所在大楼应得到许可个人设备控制:1)使用安全级别较高的密码并经常更换2)使用者承担保护责任数据中心控制:1)远离公共场所2)进入必须得到授权硬件控制:1)防火防水防潮防断电2)防蓄意破坏和人为攻击设施控制和硬件控制只有经过授权的员工可以通过网络访问和使用公司数据和程序互联网威胁中,危害较大的是非授权访问,如黑客攻击、病毒威胁等最初级的网络控制手段:设置密码一二三网络控制网络控制网络控制2、病毒防护与防火墙安装反病毒软件。未经许可,不得安装任何程序。借助防火墙阻止来自互联网的非授权访问。网络控制日志为审计提供线索网络控制3、入侵检测系统入侵检测系统分析网络活动以发现反常行
10、为或未经授权的行为。入侵检测系统保持有安全事件日志,用于提醒管理员攻击警告和内部滥用网络的现象。网络控制企业持续计划企业持续计划(business continuity planning, BCP)是公司在面临重大不利事件,甚至是灾难事件时,公司识别组织面临的内外部风险并且将重要资源和资产组合起来以保护资源,同时确保持续经营和有效恢复的一种战略。企业持续计划企业持续计划电子链接电子链接异地备份异地备份检查点程序检查点程序系统配置系统配置的备份的备份GFS(GFS(祖父祖父- -父父亲亲- -儿子儿子) )方法方法企业持续计划数据备份政策与程序数据备份政策与程序应界定灾难恢复小组中所有成员的作用
11、应确定备用计算机处理流程的备份站点;热站:双重系统暖站:现成软硬件设施,随时启动冷站:临时安装设备和配备人员企业持续计划灾难恢复政策与程序灾难恢复政策与程序会计控制目的:确认或质疑所记录数据的可靠性的控制。控制手段:批次总数:以批量形式报告总量;例:销售的合同总额;控制账户:帐户的访问必须经过授权;例:只有记时员才能递交工作时间数据;会计控制核销或取消:交易完成后的处理例:支票标上“付讫”,以防重复支付;反馈控制:提供系统或模型是否如期履行其功能的信息;例:程序错误日志;前馈和预防性控制:对未来事件的先期防范。例:备选的系统运行场所;信息系统控制应用框架系统控制组织控制、人事控制和营运控制一般
12、控制应用控制系统开发控制网络控制、硬件控制和设施控制备份控制和灾难恢复控制会计控制输出控制处理控制输入控制应用控制对象:会计系统交易处理过程;目的:是提供合理的保证,以确保所有处理均得到授权,均处理完毕,以及均得到及时处理。输入控制目的:预防和检查输入计算机系统中的时间信息错误和数据错误;批号(batch number)记录数目(record count)控制总量(control totals)数字总和(hash total)等主要方法输入控制输入前检查数据。例:在文档递交前目测检查;主要方法输入前确定所收集数据的准确性。输入控制例:输入表格的数据组织方式;例:借贷必相等;主要方法输入控制例:
13、同时输入产品的编号和名称;主要方法数据输入时,不在主文件中的交易都将被拒绝。输入控制主要方法例:收款凭证借方必有现金或银行存款中的一项。例:采用选项方式输入。输入控制字符检查:对输入字符的要求;完整性检查;上下限、范围或合理性检查主要方法例:所有数字求和,和数的个位数作为校验位。目的:确保处理过程根据预定的规范进行,而且没有将交易遗漏或错误地输入;主要方法:机器处理:机械或电子处理以保证一致性。如:现金存款用点钞机汇总清点。处理控制例:会计科目表记录正常借、贷方。主要方法:标准化:为所有处理制定统一的、结构化的和一致的程序。 处理控制例:默认周工作时间为40小时。主要方法:设定一些默认选项。
14、处理控制例:比较出纳的批结余存根与现金汇款的控制总额。主要方法:批余额:将实际处理的项目、文档与一个预设控制总额进行比较。 处理控制例:应付账款的期初余额减去支付加上净购买应等于应付账款的期末余额。主要方法:运行到运行的总计:利用输入控制总额减去后续处理得到输出控制总额。 处理控制例:应收账款明细分类账户的结余应等于总分类账的结余。主要方法:余额控制:测试两个等价的项目或一批项目之和与一个控制总额是否相等。 处理控制例:应收账款职员配比供应商发票和订单及收货报告。主要方法:配比:将两个具有独立信息源的项目进行配比,以控制交易的处理。 处理控制例:预付工资账户在所有薪水都被支付后应归零。主要方法
15、:暂记待结转账户:从处理等价的独立项目中得到的数值。净控制额应为零。 处理控制例:以到期时间排序归档的发票。主要方法:备忘录:用于处理或跟踪按时间排序的项目组成的控制文档。 处理控制例:由两人计算工资总额和净额,并加以比较。主要方法:冗余处理:重复处理并比较单个结果是否相等。 处理控制例:总间接成本可以用间接成本率乘以直接总劳动成本来重新计算。主要方法:概括处理:用一个概括账户进行重复处理,以比较控制总额与细节项目是否相等。 处理控制例:某存货文档的最后一笔记录包含一个表示文档中记录数的信息。主要方法:尾部标记:提供控制总量的记录,用于与累计数额或处理过的记录比较。处理控制目的输出控制检验输入
16、和处理的结果是有效的,且输出也被正确的分类。与确认处理结果相关的控制与输出结果的分发和处理相关的控制输出控制主要类型输出控制对主文件的所有变化提供详细信息,多用于交易量少的公司多用于交易量多的大型公司主要方法与确认处理结果相关的控制:由谁分发、储存和处理材料其它控制方法,如银行对账单。电子分发的访问控制和分发名单。材料如何分发、储存和处理输出控制与输出结果的分发和处理相关的控制控制流程图流程图的作用控制流程图流程图的作用控制流程图标准流程图:由美国国家标准学会(ANSI)和国际标准化组织(ISO)认可,主要包括四组符号控制流程图控制流程图控制流程图控制流程图控制流程图控制流程图控制流程图流程图
17、示例:采购系统(部分)控制流程图控制流程图流程图绘制的原则1)认真审阅有关交易系统的文字描述资料,明确不同步骤的处理特征,以及相关交易数据或文件的种类与流程。2)选用专用绘图软件或纸张,以便于绘制系统流程图。控制流程图3)正确使用流程图符号,宜采用标准化符号,保持前后一贯性,避免混淆。全部符号内部须简明标示其内容。4)先描绘系统轮廓图,逐步修正完稿。一次性完稿可能导致遗漏或绘制差错,欲速则不达。流程图绘制的原则控制流程图流程图绘制的原则7)必须描绘全部交易文件和文档。每一联交易凭证的流向都需要予以注明,如存档处理、转送其它部门或处理步骤、呈报部门主管,或者是送往外部实体(如客户或供应商)。倘若
18、涉及的凭证或文件用完销毁,亦应注明。清点。控制流程图流程图绘制的原则8)沿用“三明治规则”,即各个处理步骤符号必须夹在输入符号和输出符号之间,显示其输入来源和输出去向。控制流程图流程图绘制的原则对多联式文件或凭证须作重叠式标示,分别在右上端注明各联单的编号。对在不同部门或处理步骤之间流动的凭证或文件,可在新的区域内重复描绘,但必须保持其编号的前后一贯性。9)控制流程图流程图绘制的原则10)尽可能避免或减少交叉流程线。可以使用同页连接符或跨页连接符,或是转用其它处理步骤的起讫点符号表示。控制流程图流程图绘制的原则控制流程图流程图绘制的原则11)对重要的处理步骤可以加注释,补充说明其执行人员或者处理方式。12)必须列明流程图的标题、绘制人员姓名及日期,以备查考或便于嗣后更新时参考。小结信息系统内部控制u信息系统风险无处不在u信息系统控制分为一般控制和应用控制u控制流程图是记录信息系统相关控制程序的有效工具THANKS北京国家会计学院远程教育中心
